⽹站应⽤系统等保安全加固⽅案⽹站安全加固规划
XXX
门户网站建设公司门户⽹站安全加固规划
XXX年8⽉
⽂档修订记录
⽂档审批信息
⽬录
1背景 (1)
2概述 (2)
2.1⽬的 (2)
2.2⽬标 (2)
3门户⽹站现状 (2)
4安全加固规划 (4)
4.1技术加固措施 (4)
4.2安全管理措施 (6)
5安全加固预期效果 (8)
6经费保障 (9)
7组织实施 (10)
1背景
电⼦政务已经变的越来越普及的今天,政府门户⽹站作为政府对外沟通的重要载体,政府⽹站已经成为各级⼈民政府及其部门发布政府信息、提供在线服务、与公众互动交流的重要平台和窗⼝。对于促进政府部门依法⾏政,提⾼社会管理和公共服务⽔平,保障公众知情权、参与权和监督权,加强政府⾃⾝建
设和推进⾏政管理体制改⾰都具有重要意义。在提⾼⾏政效能、提升政府公信⼒等⽅⾯发挥了重要作⽤。
然⽽,政府⽹站的安全不断拷问着电⼦政务安全防护体系的建设。在电⼦政务⽹站的实际运⾏中,总存在着技术防护⼿段、安全管理机制和安全运⾏维护体系⽅⾯的⽊桶短板。信息安全形势依然不容乐观。
在⼗⼋⼤即将召开之际,⽹站安全管理的任务紧迫⽽艰巨,为深⼊贯彻落实国家和市政府关于加强政府⽹站安全管理⼯作的要求,做好XXX门户⽹站的安全管理及安全保障⼯作,预防重⼤⽹站安全事故的发⽣。亟待对XXX的门户⽹站进⾏安全加固。
根据XX市⽹络与信息安全协调⼩组办公室发布的《XX市政府⽹站管理安全保障指南(试⾏)》(沪⽹安办〔XXX〕2号),要求从管理机制、技术防护和运⾏维护三个⽅⾯,进⼀步明确政府⽹站安全防护和管理的重点。
根据XX市⽹络与信息安全协调⼩组办公室发布的《关于进⼀步做好政府⽹站安全管理试点⼯作的通知》(沪⽹安办〔XXX〕4号),委托专业技术公司XXX 有限公司对上海市重要⽹站进⾏技术检测⼯作,并组织市委办局及各区县门户⽹站负责⼈召开了中期交流会,会上市⽹安办领导进⼀步强调各单位要加强⽹
站安全管理,尤其要防范“匿名者”⿊客组织对我国政府⽹站的攻击。
根据《国务院办公厅关于开展重点领域⽹络与信息安全检查⾏动的通知》(国办函[XXX]102号,要求全市各区县、各部门和各有关重点单位抓紧部署和开展⽹络与信息安全检查,通过检查发现存在的问题和薄弱环节,分析评估⾯临的安全威胁和风险,有针对性地采取防范对策和改进措施,切实保障⽹络与信息安全。
2概述
2.1 ⽬的
通过不断加强XXX门户⽹站从管理机制、技术防范和运⾏维护三个⽅⾯切实采取措施加强防范,要确保做到“五防”:防攻击、防挂马、防篡改、防瘫痪、防泄密。在发⽣紧急安全事件时,能快速响应并从事件中恢复。
2.2 ⽬标
根据对当前⽹站环境进⾏充分调研和分析,积极采取诸如⽹站负载均衡、⽹络防病毒、服务器安全加固和⽹站数据存储等应对措施,切实保障XXX门户⽹站按照<;国办函> 和<;沪⽹安办>相关⽂件要求将XXX的门户⽹站安全建设落到实处。
3门户⽹站现状
XXX通过长期的针对门户⽹站的信息安全规划和不懈的信息安全建设。已经增加了许多安全措施并且这些安全应对措施在缓解门户⽹站⾯临的互联⽹风险⽅⾯发挥了重要作⽤。然⽽,为了保障XXX门户⽹站的业务正常运⾏
这个主要⽬标,安全建设是⽆⽌境的,需要持续不断的改进。当前的门户⽹站的⽹络系统架构如下图:
图3.1:安全加固前的⽹络结构图
⽬前已经部署的安全应对措施如下:
1、内外⽹及内部关键应⽤之间使⽤防⽕墙进⾏隔离和过滤;
2、内部⽹络区域之间安全域的划分;
3、部署了蠕⾍过滤⽹管以应对⽹络恶意代码威胁;
4、部署了⼊侵检测系统以实现对来⾃⽹络、传输和应⽤层攻击的告警;
5、采⽤了⽹络链路冗余和⽹路流量的负载均衡;
6、部署了IPSec/SSL VPN
尽管XXX门户⽹站⽹络系统建设中已经部署了以上安全应对措施,通过分析,发现在以下⽅⾯仍然存在安全威胁和风险。需要在以后的安全建设中采取积极的应对措施。存在的主要安全威胁和风险:
1、外⽹链路单⼀引起的单点中断风险;
2、单⼀Web应⽤存在的不能应付⼤量并发访问的处理风险;
3、有效集中管理和预防内⽹计算机病毒的风险;
4、服务器配置、权限管控、漏洞管理、⾝份认证、⾮授权访问、⽂件数据篡改等风险;
5、当前IP-SAN⽆法应对海量数据存储⽽存在数据处理瓶颈的风险。
4安全加固规划
主要从国家信息安全等级保护相关政策标准和上海市关于政府⽹站安全管理与防护的要求为依据,结合XXX政府门户⽹站安全建设现状,以风险评估为决策输⼊,综合使⽤技术和管理应对措施,进⼀步完善门户⽹站系统和⽹络的冗余能⼒与安全防护能
⼒。⼒争建设⼀个⾼安全性、可靠性、可⽤性的门户⽹站系统。
4.1 技术加固措施
在充分考虑了XXX的业务现状、管理体制和⼈⼒资源状况等实际情况的基础上,我们认真分析了其门户⽹站⽬前存在的安全问题、安全需求和未来的发
展规划,以及该⾏业⽹络系统存储基础的建设,认为⽹站系统可以在以下多个⽅⾯进⾏优化加固。
采⽤双ISP(因特⽹服务提供商)链路 - 建议采⽤双链路接⼊电信。使⽤两根专线接⼊电信,以实现链路备份冗余。使⽤两根专线接⼊电信,⼀⽅⾯可以提⾼带宽利⽤率,另⼀⽅⾯可以实现链路冗余,防⽌链路的单点故障。
实现Web应⽤服务器的负载均衡 - 采⽤两台负载均衡设备实现WEB的负载均衡需求。将负载均衡设备旁挂在核⼼交换机上,通过交换机完成与服务器和客户端之间的通讯。
部署集中管理的⽹络防病毒系统 -采⽤服务器杀毒软件企业版产品对服务器进⾏安全保护。
部署服务器安全加固以实现统⼀服务器安全管理 - 采⽤“节点-操作系统安全加固”产品对服务器操作系统进⾏安全加固,该产品在功能设计上以国家信息安全等级保护相关标准为指导,将使服务器的部分安全能⼒符合等级保护相关标准的要求。
升级当前的IP-SAN数据存储为FC-SAN架构的存储系统 -在对数据安全性要求较⾼⾼的应⽤环境中,推荐采⽤基于FC-SAN架构的存储设备,以保证整个应⽤系统的平稳运⾏,使数据获得更⾼的安全性。采⽤FC-SAN架构的数据存储⽅案,代替⽬前采⽤的IP-SAN存储⽅案,具体建设内容是采⽤⼀台FC-SAN存储交换机代替现有IP-SAN存储交换机,数据库服务器与FC-SAN 存储交换机的通信采⽤光纤链路。
4.2 安全管理措施
为了有效⽀撑XXX的门户⽹站业务的可靠和安全运⾏。除了采取技术⼿段为重要⽀撑外,以主动式防御为主,以风险管理为核⼼。全⾯推⾏和贯彻信息安全管理,将技术措施落实到实处,使其发挥到应有的效⽤。信息安全界流⾏的⼀句话“三分技术,七分管理”,可见安全管理⼿段,也是⾮常重要的。
分别从信息安全决策层、信息安全管理层和信息安全操作层三个⽅⾯开展信息安全管理⼯作。制定⼀套适合XXX门户⽹站管理的信息安全管理体系,包括安全策略与⽅针、安全管理制度、安全管理规范和安全管理指南等。“从上⾄下”推动门户⽹站的安全管理⼯作。
安全管理体系⽂件列表
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论